Alapszintű formalizmusok

Átírás

1 Alapszintű formalizmusok dr. Majzik István BME Méréstechnika és Információs Rendszerek Tanszék 1

2 Mit szeretnénk elérni? Informális tervek Informális követelmények Formális modell Formalizált követelmények i Automatikus verifikáció n OK Ellenpélda 2

3 Modellek a formális ellenőrzéshez Leképzések Mérnöki modellek Magasabb szintű formalizmusok PN, CPN, DFN, SC Alapszintű matematikai formalizmusok KS, LTS, KTS, TA 3

4 Alapszintű formalizmusok (áttekintés) Kripke-struktúrák (KS) Állapotok, állapotátmenetek Állapotok lokális tulajdonságai mint címkék Címkézett tranzíciós rendszerek (LTS) Állapotok, állapotátmenetek Állapotok lokális tulajdonságai mint címkék Kripke tranzíciós rendszerek (KTS) Állapotok, állapotátmenetek Állapotok és lokális tulajdonságai mint címkék Véges állapotú automaták Kiterjesztések: Változók, óraváltozók, szinkronizáció 4

5 KS, Kripke-structure: 1. Kripke-struktúra Állapotok, állapotátmenetek, állapotok címkézése Állapotok tulajdonságait fejezzük ki: címkézés atomi kijelentésekkel Egy állapothoz több címke is rendelhető Alkalmazás: Viselkedés, algoritmus leírása KS ( S, R, L) és AP, ahol AP= P,Q,R,... S= s,s,s,...s n atomi kijelentések halmaza (domén-specifikus) állapotok halmaza R S S: állapotátmeneti reláció L: S 2 AP állapotok címkézése atomi kijelentésekkel 5

6 Kripke-struktúra példa Közlekedési lámpa viselkedése AP={Zöld, Sárga, Piros, Villogó} lámpa képe S = {s1, s2, s3, s4, s5} {Zöld} {Sárga} {Piros} {Piros, Sárga} s1 s2 s3 s4 s5 {Villogó} 6

7 2. Címkézett tranzíciós rendszer LTS, Labeled Transition System: Állapotok, állapotátmenetek, állapotátmenetek címkézése Állapotátmenetek tulajdonságait fejezzük ki: címkézés akciókkal Egy állapotátmeneten csak egy akció szerepelhet (konvenció) Alkalmazás: Kommunikáció, protokollok modellezése LTS ( S, Act, ), ahol S= s,s,...s 1 2 n Act= a,b,c,... állapotok halmaza akciók halmaza (domén-specifikus) S Act S címkézett állapotátmenetek Állapotátmenetek szokásos jelölése: s a s 1 2 7

8 Italautomata modelljei LTS példák Act = {pénz, kávé, tea} interakciók a felhasználóval T1 T2 pénz pénz pénz kávé tea kávé tea 8

9 3. Kripke tranzíciós rendszer KTS, Kripke Transition System: Állapotok, állapotátmenetek, címkézések Állapotok és állapotátmenetek tulajdonságait is kifejezzük: címkézés atomi kijelentésekkel és akciókkal Egy állapothoz sok címke rendelhető, egy átmenethez egy címke rendelhető KTS ( S,, L) és AP, Act, ahol AP Act P, Q, R,... a, b, c,... S s, s, s,... s L: S Act S S 2 AP n atomi kijelentések halmaza akciók halmaza állapotok halmaza állapotátmeneti reláció (címkékkel) állapotok címkézése atomi kijelentésekkel 9

10 KTS példa Italautomata modellje állapot címkékkel Act = {pénz, kávé, tea} interakciók a felhasználóval AP = {Start, Választ, Stop} állapotok kijelzése {Start} kávé pénz {Választ} tea {Stop} {Stop} 10

11 Időzített automaták (az UPPAAL eszközben) Time Automata Network of Timed Automata 12

12 Automaták és változók Cél: Állapot alapú viselkedés modellezése Alap formalizmus: Véges állapotú automata (FSM) Állapotok (névvel hivatkozhatók) Átmenetek Nyelvi kiterjesztés: Egész értékű változók használata Változók deklarálhatók típussal (értéktartománnyal) Konstansok definiálhatók Egész aritmetika használható Az FSM állapot itt csak vezérlési hely (változó is az állapot része) Változók használata állapotátmeneteken: Őrfeltétel hozzárendelése: A változókon kiértékelhető predikátum Az átmenet bekövetkezéséhez igaz kell legyen Akció hozzárendelése: Értékadás változóknak Az átmenet bekövetkezésekor végrehajtódik 13

13 Deklarációk: bool blocked0=false; bool blocked1=false; int[0,1] turn=0; Példa: Automata változókkal A P0 automata pszeudokódja és modellje: P0 14

14 Függvények alkalmazása átmenetek akcióiban Példa: Lista kezelése // Returns the front element of the list int front() { return list[0]; } const int N = 6; int list[n]; int[0,n-1] last; // Put an element at the end of the list // (overflow not checked) void enqueue(int element) { list[last++] := element; } // Remove the front element of the list void dequeue() { int i := 0; while (i < last) { list[i] := list[i + 1]; i++; } list[i] := 0; last := last-1; } 15

15 Kiterjesztések óraváltozókkal Cél: Valósidejű viselkedés modellezése Idő telik az állapotokban Relatív időmérés (pl. time-out): Időzítő resetelése és leolvasása Az idő függvényében változó a viselkedés Nyelvi kiterjesztés: Óraváltozók Azonos rátával automatikusan haladó konkurens órák (időzítők) Óraváltozók használata átmeneteken: Akciók: Óraváltozók nullázása (resetelés), egymástól függetlenül Őrfeltételek: Óraváltozók és konstansok használhatók a predikátumokban Óraváltozók használata vezérlési helyeken: Hely invariáns: Predikátum óraváltozókon és konstansokon; megadja, meddig állhat fenn az adott állapot 16

16 Példa: Időzített automata (az UPPAAL eszközben) Vezérlési hely (névvel) clock x; bool activated; Őrfeltétel Hely invariáns Akció 17

17 Az invariánsok és őrfeltételek szerepe clock x; Őrfeltétel Hely invariáns Az open állapot elhagyásakor a [4, 8] tartományban lehet az x óra értéke 4 8 t 18

18 Kiterjesztések elosztott rendszerekhez Cél: Együttműködő automaták hálózatának modellezése Szinkronizáció az egyes automaták között Együttlépő átmenetek (randevú): szinkron kommunikáció Üzenet küldés és fogadás csak együtt valósulhat meg (küldő vár) Ezzel aszinkron kommunikáció is leírható Nyelvi kiterjesztés: Szinkronizált akciók Csatornák definiálása (szinkron csatorna) Üzenetküldés:! operátor a csatornára Üzenetfogadás:? operátor a csatornára Pl: az a nevű csatorna esetén a! és a? akciók Kiterjesztés: Csatornatömbök kezelése Csatornatömb deklarálás: chan a[] Műveletek csatornatömb elemein id változóval indexelve: a[id]! illetve a[id]? akciók a! a? chan a; 19

19 Példa óraváltozókra és szinkronizálásra Deklarációk: clock t, u; chan press; Kapcsoló: Üzenet fogadás : Itt felhasználói input Felhasználó: Üzenet küldés : Itt felhasználói output 20

20 További lehetőségek: Broadcast csatorna Broadcast csatorna: 1 N kommunikáció Üzenetküldés feltétel nélkül megtörténik Nem kell fogadó készenlétére (randevúra) várni Minden üzenetfogadásra kész partner erre szinkronizálódik Üzenetfogadáshoz szükséges az üzenetküldés Használati feltétel: Nem szerepelhet őrfeltétel a broadcast csatornára hivatkozó üzenetfogadó átmeneten broadcast chan a; Üzenetküldő: Üzenet fogadók: a! a? a? a? 21

21 További lehetőségek: Urgent csatorna Urgent csatorna: Nem enged késleltetést Késleltetés nélkül, azonnal végrehajtandó szinkronizáció Előtte más átmenetek azonnali végrehajtása történhet Korlátozott az őrfeltételek és invariánsok használata: urgent chan a; Nem szerepelhet itt invariáns a! Nem szerepelhet itt időzítés őrfeltétel 22

22 További lehetőségek: Speciális állapotok Urgent állapot: késleltetés korlátozása Nem telhet idő az adott állapotban Ekvivalens modell: Óraváltozó bevezetése: clock x; Minden bemenő élen resetelve: x:=0 Állapot invariáns hozzárendelése: x<=0 Committed állapot: átmenetek egybefogása Bemenő és kimenő átmenet egy atomi műveletként végrehajtva A bemenő és kimenő átmenetek végrehajtása között más automata normál átmenete nem lehet végrehajtva U C 23

23 Adatértékek véletlen választása: szelekció Véletlen adatválasztás modellezése: select Változó megadása típussal Pl. deklarációk: typedef int[1,6] dice_type; select konstrukció az átmeneten: throw: dice_type A változót véletlenszerűen adatértékhez köti a változó típusa szerinti tartományból Pl. a throw változó értéke 1 és 6 között lesz A kötött változó ezután az átmenethez tartozó szinkronizációban, őrfeltételben, akcióban használható A modell ellenőrzése: Minden lehetséges választást bejár 24

24 A kiértékelés és végrehajtás sorrendje Az átmenethez rendelt kifejezések kiértékelése: A Select választás köt először A Guard őrfeltétel igaz kell legyen az átmenet engedélyezéséhez A Sync szinkronizáció másik automatáéhoz köti az átmenet végrehajtását Az Update akció az átmenet végrehajtása során következik be Szinkronizáló átmenetek esetén a küldő akciója a fogadóé előtt fut le 25

25 Formális szintaxis egy automata esetén TA=(N, n 0, E, Inv, L) és C, V, Act, A Vezérlési helyek halmaza: N Kezdő vezérlési hely: n 0 Élek őrfeltételekkel, akciókkal és nullázott órákkal: E N G(C,V) Act 2 C N itt órák: C, változók: V, akciók: Act G(C,V) predikátumok órákon vagy változókon Hely invariánsok: Inv: N G(C) Vezérlési helyek nevei: L: N A itt A névhalmaz

26 Kezdeti állapot: Szemantika egy automata esetén Kezdő vezérlési hely aktív, minden óra 0 Aktív állapotban: késleltetés vagy átmenet végrehajtás Késleltetés: Az órák értéke azonosan növekszik Addig telhet egy adott vezérlési helyen az idő, amíg a hely invariáns teljesül Átmenet végrehajtása: Átmenet engedélyezett (adott szelekció mellett), ha Kiindulási helye aktív Őrfeltétel teljesül Szinkronizáció bekövetkezhet Órák nullázása teljesíti a cél hely invariánsát Engedélyezett átmenet végrehajtódik (ha több van: véletlen választás) Szinkronizáció és akció megtörténik, a nullázott órák értéke 0 lesz (küldő akciója a fogadóé előtt fut le) Az átment célhelye válik aktívvá 27

27 Automaták példányosítása: Motiváció Deklarációk: bool blocked0=false; bool blocked1=false; int[0,1] turn=0; system P0, P1; A P0 és P1 automata: 28

28 Automaták példányosítása Deklarációk: bool blocked[2]; int[0,1] turn=0; P0 = P(0); P1 = P(1); system P0,P1; Kihasznált modellezési lehetőségek: Azonos viselkedésű résztvevők azonos automata template alapján Példányosítás paraméterezéssel Változó tömbök (résztvevőkhöz) A P automata template pid paraméterrel: P0 példány pid=0 mellett: 29

29 Az UPPAAL eszköz Fejlesztése (1999-): Uppsala University, Svédország Aalborg University, Dánia Akadémiai verzió (információk, letöltés, példák): Kapcsolódó eszközök: UPPAAL CoVer: Tesztgenerálás UPPAAL TRON: On-line tesztelés UPPAAL PORT: Komponens alapú rendszerek tervezése Kereskedelmi verzió: 30

30 Automata modell 31

31 Szimulátor 32

32 Verifikáció 33

33 Mintapélda: A kétfázisú commit protokoll 34

34 Coordinator A modell struktúrája vote_req vote (Yes / No) decide (ABORT / COMMIT) Participant(i) Coordinator broadcast chan vote_req, decide; chan vote; const int N=2; typedef int[1,n] pid_type; typedef int[0,1] vote_type; int decision = 0; const int ABORT = 0; const int COMMIT = 1; vote_type my_vote; int my_pid; int voted = 0; vote_type participant_votes[n+1]; // Csatornák // Résztvevők száma // Résztvevők azonosítóinak típusa // Szavazatok típusa (0: No, 1: Yes) // A koordinátor döntése // Szavazat küldve a résztvevőtől // Azonosító küldve a résztvevőtől // A szavazott résztvevők száma // A koordinátor és résztvevők szavazatai 35

35 A koordinátor bool exists_no_vote() { int[0,n+1] i; for (i=0; i<n+1; i++) { if (participant_votes[i]==0) { return true; } } return false; } 36

36 A résztvevő 37

37 Ellenőrizendő tulajdonságok (példák) A[] logikai operátor: Minden végrehajtási út minden állapotára Ha a koordinátor Aborted, akkor volt No szavazat: A[] (Coordinator.Aborted imply exists (i : int[0,n]) Coordinator.participant_votes[i]==0) Ha a koordinátor Committed, minden szavazat Yes volt: A[] (Coordinator.Committed imply forall (i : int[0,n]) Coordinator.participant_votes[i]==1) Nincs olyan helyzet, hogy eltérő a döntés: A[] not (Coordinator.Aborted and exists (i : int[1,n]) Participant(i).Committed) A[] not (Coordinator.Committed and exists (i : int[1,n]) Participant(i).Aborted) 38

38 Résztvevő: Kiesés és időkorlát a szavazásra clock pclock; // Résztvevő lokális órája 39

39 Koordinátor: Timeout a szavazáskor clock cclock; // Koordinátor lokális órája 40